[发明专利]基于拟态技术和机器学习的检测系统、方法、设备及介质

说明书

本发明公开基于拟态技术和机器学习的检测系统、方法、设备及介质，该系统包括拟态调度器和若干异构执行体，拟态调度器，包括拟态判决单元、攻击检测单元和控制处理单元，攻击检测单元，用于接收控制处理单元发送的报文数据，并结合拟态判决模块发送的拟态判决结果进行机器学习，对报文数据进行攻击防御检测；控制处理单元，用于根据攻击防御检测结果，将判断为异常数据的报文数据进行过滤；将判断为正常数据的报文数据作为上行数据，上送至异构执行体。本发明在现有拟态防御技术的基础上，加入机器学习，将攻击数据进行自动过滤，增强了异构执行体自身的攻击防御能力，提高了异构执行体的鲁棒性和可用性，进一步提高了系统的安全性。

技术领域

本发明涉及网络安全技术领域，尤其涉及基于拟态技术和机器学习的检测系统、方法、设备及介质。

背景技术

随着信息技术的发展，对网络空间安全技术的要求也越来越高。拟态防御技术作为一种不依赖先验知识的主动防御技术，在出现未知漏洞、病毒木马和后门等不确定性安全威胁时，能够具有显著的防御效果。

拟态产品是基于拟态防御技术理论实现的，在其架构中引入多个异构处理器作为异构执行体，并包含硬件实现的拟态调度器以实现对异构执行体输出下行数据的判决筛选以及上行数据的分发控制。由于外部攻击或者本身未知漏洞可能导致异构执行体出现异常输出错误结果，目前的方案是，根据拟态判决策略对异常次数达到阈值的异构执行体进行清洗恢复，重新恢复到正常可用状态。但是，如果同样的攻击或者未知漏洞再次出现，异构执行体仍然没有抵抗能力再次出现异常现象，从而导致此异构执行体一直处于不可用状态，极大地降低了异构冗余的优越性。

发明内容

针对现有拟态防御技术中异构执行体遭到攻击容易受到异常，需要不断地进行清洗操作等缺点，本发明提出基于拟态技术和机器学习的检测系统、方法、设备及介质。本发明在拟态系统架构下的拟态调度器中加入基于机器学习的攻击检测单元，对报文数据的评估预测更加智能精准，对上送给每个异构执行体的报文数据进行攻击检测，自动将异常数据进行过滤，不上送给相应的异构执行体，避免异构执行体遭到攻击，增强了异构执行体自身的攻击防御能力，提高了异构执行体的鲁棒性和可用性，进一步提高了系统的安全性能。

为了达到上述目的，本发明的技术方案如下：

一种基于拟态技术和机器学习的检测系统，包括拟态调度器和若干异构执行体，所述异构执行体用于接收和处理拟态调度器上发送的报文数据，并将处理的结果作为下行数据，下发至拟态调度器；所述拟态调度器，包括拟态判决单元、攻击检测单元和控制处理单元，其中，

所述拟态判决单元，用于接收异构执行体的下行数据，基于拟态判决策略对下行数据做出拟态判断，判断出前端芯片上送的原始报文数据是否存在攻击性，同时将拟态判决结果发送给攻击检测单元；

所述攻击检测单元，用于接收控制处理单元发送的报文数据，并结合拟态判决模块发送的拟态判决结果进行机器学习，对报文数据进行攻击防御检测；

所述控制处理单元，用于接收前端芯片上送的报文数据并发送至攻击检测单元，接收异构执行体下发的下行数据并发送至拟态判决单元；用于根据攻击防御检测结果，将判断为异常数据的报文数据进行过滤；将判断为正常数据的报文数据作为上行数据，上送至异构执行体。

优选地，所述攻击检测单元包括数据采集模块、数据分类模块、模型训练模块和攻击检测模块，其中，

所述数据采集模块，用于接收前端芯片上送的报文数据；

所述数据分类模块，用于基于拟态判决模块发送的拟态判决结果进行数据分类，并将报文数据标记为异常数据和正常数据，形成测试集和训练集；

所述模型训练模块，用于构建机器学习模型，利用训练集作为机器学习模型的输入，进行自主学习，生成攻击检测模型，并利用测试集对攻击检测模型进行调优和测试，直至符合预设的收敛条件；